How a CPU spike led to uncovering a RansomHub ransomware attack
Zusammenfassung
Eine plötzliche CPU-Überlastung führte die Sicherheitsexperten von Varonis zu einer laufenden RansomHub-Ransomware-Attacke. Das Unternehmen konnte den Angriff detailliert nachvollziehen und wichtige Erkenntnisse gewinnen. Die Analyse zeigte, dass die Schadsoftware über eine Schwachstelle (CVE-2021-31199) in der Versionsverwaltungssoftware Apache Subversion Version 1.14.1 eingeschleust wurde. Apache Subversion ist ein weit verbreitetes Open-Source-Tool zum Versionieren und Verwalten von Dateien und Quellcode. Die Schwachstelle ermöglichte es den Angreifern, sich unbemerkt Zugriff auf das interne Netzwerk zu verschaffen, bevor sie die Ransomware starteten. Durch den Einsatz der RansomHub-Malware verschlüsselten die Angreifer systematisch verschiedene Server und Arbeitsstationen. Dabei kam es zu einem massiven Anstieg der CPU-Auslastung, was die Sicherheitsteams aufmerksam machte. Die Ransomware forderte Lösegeld in Kryptowährungen, um die Dateien wieder freizugeben. Die Untersuchung zeigte, dass die Angreifer zunächst über einen längeren Zeitraum unerkannt im Netzwerk agierten, bevor sie den Verschlüsselungsangriff starteten. Dies ermöglichte es ihnen, sich umfassend vorzubereiten und wichtige Systeme und Daten zu identifizieren. Erst der plötzliche Anstieg der CPU-Auslastung führte die Sicherheitsexperten auf die Spur der Ransomware. Durch gezielte Gegenmaßnahmen wie Notfall-Backups und die Abschottung des Netzwerks konnte der Schaden jedoch begrenzt werden. Der Vorfall zeigt, wie wichtig es ist, Sicherheitslücken zeitnah zu schließen und Warnhinweise auf verdächtige Aktivitäten genau zu analysieren. Unternehmen sollten zudem regelmäßige Sicherungen durchführen und Mitarbeiter für Cybersicherheit sensibilisieren, um solche Ransomware-Attacken künftig zu verhindern. Insgesamt liefert der Vorfall wichtige Erkenntnisse darüber, wie Ransomware-Gruppen vorgehen und welche Gegenmaßnahmen erfolgreich sein können. Die detaillierte Analyse durch die Sicherheitsexperten von Varonis trägt dazu bei, Unternehmen besser für solche Bedrohungen zu wappnen.